L evoluzione del sistema dei controlli interni: tra processi di convergenza europei ed efficacia di controllo

Transcript

1 L evoluzione del sistema dei controlli interni: tra processi di convergenza europei ed efficacia di controllo Il perimetro della Funzione Compliance alla luce delle evoluzioni normative: possibili impatti nella misurazione del rischio Università Cattolica del Sacro Cuore CETIF Milano 10 aprile 2014

2 Indice Il Modello di Compliance Il perimetro della Funzione di Compliance alla luce delle nuove disposizioni di vigilanza 2

3 3 Il Modello di Compliance

4 Il modello di compliance: assetto organizzativo Banca d Italia Disposizioni di Vigilanza - La funzione di conformità (9 luglio 2007).. In via generale le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l esercizio dell attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore. Al fine di ottemperare alle disposizioni regolamentari, UBI Banca ha definito le Politiche di Gestione del rischio di non conformità, prevedendo, esplicitamente l esclusione dalle competenze della funzione di conformità degli ambiti: giuslavoristico fiscale normative che, ex-lege, prevedono l istituzione di un responsabile con precisi obblighi di presidio e correlate responsabilità (per. Es. Responsabile della sicurezza della prevenzione e protezione negli ambiti di lavoro, Dirigente Preposto alla redazione dei documenti societari, etc ) Coerentemente con le previsioni delle specifiche policy è stata istituita la funzione di Compliance e sono stati predisposti e attuati: Il modello organizzativo della funzione di conformità La metodologia di valutazione dei rischio di non conformità Il regolamento del processo di conformità 4

5 Il modello di compliance: modello organizzativo Al fine di ottemperare alle disposizioni regolamentari, UBI Banca ha definito un modello organizzativo distribuito di tipo misto, che garantisca nel contempo, ai sensi delle disposizioni regolamentari, la riconduzione ad unità del processo di gestione del rischio di non conformità alle norme e l operatività della Compliance attraverso il coordinamento della Capogruppo, ed articolato sui seguenti ruoli e relazioni operative/funzionali: Responsabile della Compliance di Capogruppo e di Gruppo Referente per la Compliance (p. es. nelle Banche del Gruppo) Responsabile della Compliance (istituito nelle società del gruppo soggette alle disposizioni di Vigilanza specifiche) Unità con competenze specialistiche ( Presidi Specialistici di Compliance ) Unità Operative di Compliance ( Unità Operative di Supporto alla Compliance per es: Affari Legali, Organizzazione, etc ). 5

6 Il modello di compliance: metodologia di valutazione del rischio Rischio inerente Rischio residuo ex ante Rischio residuo ex-post FASE SCALA DI GIUDIZIO ASSESSMENT E VALUTAZIONE DI ADEGUATEZZA DEI PRESIDI ORGANIZZATIVI VALUTAZIONE DI EFFICACIA DEI PROCESSI MOLTO RILEVANTE RILEVANTE BASSO CONTENUTO MOLTO RILEVANTE RILEVANTE BASSO CONTENUTO MOLTO RILEVANTE RILEVANTE BASSO CONTENUTO La valutazione di rischio inerente tiene in considerazione i seguenti elementi: sanzioni irrogabili impatti economico/finanziari impatto reputazionale La valutazione di rischio residuo ex-ante tiene in considerazione i seguenti elementi: completezza dell impianto operativo con riferimento ai processi impattati dalle disposizioni e i relativi presidi adeguatezza chiarezza delle disposizioni interne La valutazione di rischio residuo es-post tiene in considerazione i seguenti elementi: coerenza e completezza dei presidi implementati corretto funzionamento dei processi e dei presidi implementati 6

7 Il modello di compliance: processo di valutazione del rischio Altri presidi di supporto 7

8 8 Il perimetro della funzione di compliance alla luce delle nuove disposizioni di vigilanza

9 Il nuovo perimetro della funzione di compliance Disposizioni di Vigilanza circ. n. 263: XV aggiornamento del 2 luglio 2013 La funzione di conformità alle norme presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutta l attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio. A tal fine, è necessario che la funzione di conformità alle norme abbia accesso a tutte le attività della banca, centrali e periferiche, e a qualsiasi informazione a tal fine rilevante, anche attraverso il colloquio diretto con il personale. Nella sostanza le nuove disposizioni: valorizzano e confermano il ruolo sostanziale e preventivo della funzione riqualificano, ampliandolo, l ambito di competenza della funzione estendendolo a tutte le attività aziendali e, in ottica di presidio alla corretta operatività/qualità dei processi, a tutte le sottostanti norme confermano il principio di riconduzione in unità del presidio al complessivo rischio di non conformità, per tutte le attività della Banca attribuiscono diretta responsabilità alla funzione compliance, ancorché in collaborazione con altre strutture/presidi, in tema di definizione delle metodologie di valutazione del rischio e individuazione delle procedure attribuiscono alla diretta responsabilità della funzione compliance la verifica di adeguatezza delle procedure atte a prevenire il rischio di non conformità 9

10 Il nuovo perimetro della funzione di compliance: impatto In esito alle prime attività progettuali le nuove disposizioni incidono in misura non sostanziale in merito a: modello organizzativo adottato e ruoli identificati unità operative e presidi specializzati metodologie di valutazione del rischio specifico, secondo la finalità di un omogenea rappresentazione del rischio di non conformità e in attuazione all ottica risk based sollecitata anche dall Autorità rilevanza della normativa regolamento del processo di conformità, ovvero la sequenza delle attività funzionali al presidio del rischio di non conformità contributi differenziati Rilevano significativamente, ai fini dell adeguamento alle nuove disposizioni: ampliamento della base dei soggetti da coinvolgere nel processo di compliance con ruolo di presidi specialistici e sincronizzazione degli interventi efficacia ed efficienza nella gestione della riconduzione ad unità del processo di compliance ovvero di manutenzione della complessiva mappa dell esposizione al rischio di non conformità ampliamento dei contenuti interscambiati tra i diversi attori attivi nel processo di compliance e riconciliazione dei diversi linguaggi in uso in ottica di rischio di non conformità acquisizione delle specifiche competenze per l indirizzamento delle attività dei presidi specialistici individuati, anche nella prospettiva della rotazione delle risorse tra le diverse strutture di controllo preservazione del principio dell adeguato esercizio delle responsabilità assegnate e della corretta segmentazione dei controlli di I, II e III livello 10

11 Il nuovo perimetro della funzione di compliance: relazioni con gli altri ruoli finalizzata alla valutazione complessiva del rischio di non conformità La normativa di riferimento individua i seguenti ruoli primari che, con diverso ruolo, interagiscono con la funzione di conformità per il corretto funzionamento del sistema dei controlli interni: Funzioni aziendali di controllo Funzioni di controllo Presidi specializzati Con riferimento alle FUNZIONI AZIENDALI DI CONTROLLO, con attribuzione di ruoli e responsabilità singolarmente disciplinate da diverse disposizioni di Vigilanza, che prevedono l attribuzione di compiti di presidio al rischio di non conformità (per es. Antiriciclaggio, Convalida, etc ) è fondamentale garantire l interscambio di informazioni funzionali al corretto e tempestivo presidio del rischio di non conformità: Omogeneizzazione delle metodologie di valutazione del rischio di non conformità Interazione reciproca funzionale alla corretta ed effettiva convergenza in unità del presidio del rischio di non conformità Articolazione dei flussi reciproci funzionali all effettiva sincronizzazione degli interventi e alla corretta gestione della mappa dell esposizione al rischio di non conformità 11

12 Il nuovo perimetro della funzione di compliance: relazioni con gli altri ruoli finalizzata alla valutazione complessiva del rischio di non conformità Con riferimento alle FUNZIONI DI CONTROLLO, che per disposizioni legislative, regolamentari, statuarie o di autoregolamentazione hanno compiti di controllo, è fondamentale garantire il proficuo interscambio di informazioni funzionale alla corretta analisi e valutazione delle interrelazioni tra le diverse nature di rischio: Articolazione dei flussi reciproci periodici ed ad evento Riconciliazione delle metodologie di classificazione e valutazione degli eventi di reciproco interesse Sincronizzazione degli interventi piani di azione Con riferimento ai PRESIDI SPECIALIZZATI, con attribuzione di ruoli e responsabilità singolarmente disciplinate da specifica normativa e in esito a valutazioni di adeguatezza a gestire il profilo di rischio di non conformità, è fondamentale garantire: Omogeneità della valutazione del rischio di non conformità ovvero riconciliazione delle eventuali metodologie di presidio già in uso da parte del presidio specializzato Personalizzazione degli incarichi assegnati nell ambito del processo di gestione del rischio e/o di manutenzione della mappa dell esposizione al rischio di non conformità, in relazione agli esiti del processo di valutazione dell adeguatezza del presidio Efficacia del coordinamento operativo nelle diverse evenienze del processo di gestione del rischio di non conformità (nuovi prodotti/servizi, nuove disposizioni regolamentari/di legge, etc ) Interazione reciproca funzionale all efficace azione complessiva di gestione del rischio di non conformità per gli ambiti/norma di competenza Articolazione dei flussi reciproci funzionale all effettiva riconduzione in unità del presidio al rischio di non conformità 12

13 Il nuovo perimetro della funzione di compliance: punti di attenzione Fattori critici di successo: Cultura diffusa della conformità e del presidio del rischio training e sponsorizzazione Approccio interattivo e collaborativo diffuso Valorizzazione degli aspetti preventivi anche in riferimento all evoluzione del complessivo contesto normativo in corso (leveling the playing field) e dalle strategie di business perseguite Aree di attenzione: Approccio verticalizzato per norma vs focalizzazione sull efficacia e l efficienza dei processi aziendali Approccio burocratico al presidio del rischio vs valorizzazione delle competenze funzionale alla possibilità di rotazione delle risorse con le altre strutture di controllo Focalizzazione esclusiva sugli eventi di compliance rivenienti da modifiche di natura regolamentare o normativa Coerenza del risk profile rischio di non conformità tracciato a partire dalle diverse fonti ed effettiva fruibilità per la gestione integrata dei rischi 13